KMS에서 StorageGRID를 클라이언트로 구성합니다
KMS를 StorageGRID에 추가하려면 각 외부 키 관리 서버 또는 KMS 클러스터에 대해 StorageGRID를 클라이언트로 구성해야 합니다.
이러한 지침은 Thales CipherTrust Manager k170v, 버전 2.0, 2.1 및 2.2에 적용됩니다. StorageGRID에서 다른 키 관리 서버를 사용하는 방법에 대한 질문이 있는 경우 기술 지원 부서에 문의하십시오.
-
KMS 소프트웨어에서 사용하려는 각 KMS 또는 KMS 클러스터에 대해 StorageGRID 클라이언트를 만듭니다.
각 KMS는 단일 사이트 또는 사이트 그룹에서 StorageGRID 어플라이언스 노드에 대한 단일 암호화 키를 관리합니다.
-
KMS 소프트웨어에서 각 KMS 또는 KMS 클러스터에 대한 AES 암호화 키를 만듭니다.
암호화 키를 내보낼 수 있어야 합니다.
-
각 KMS 또는 KMS 클러스터에 대해 다음 정보를 기록합니다.
KMS를 StorageGRID에 추가할 때 이 정보가 필요합니다.
-
각 서버의 호스트 이름 또는 IP 주소입니다.
-
KMS에서 KMIP 포트를 사용합니다.
-
KMS의 암호화 키에 대한 키 별칭입니다.
암호화 키는 KMS에 이미 있어야 합니다. StorageGRID는 KMS 키를 만들거나 관리하지 않습니다.
-
-
각 KMS 또는 KMS 클러스터에 대해 CA(인증 기관)가 서명한 서버 인증서 또는 인증서 체인 순서에 따라 연결된 PEM 인코딩된 CA 인증서 파일이 들어 있는 인증서 번들을 받습니다.
서버 인증서를 사용하면 외부 KMS가 StorageGRID에 자신을 인증할 수 있습니다.
-
인증서는 PEM(Privacy Enhanced Mail) Base-64로 인코딩된 X.509 형식을 사용해야 합니다.
-
각 서버 인증서의 주체 대체 이름(SAN) 필드에는 StorageGRID가 연결할 정규화된 도메인 이름(FQDN) 또는 IP 주소가 포함되어야 합니다.
StorageGRID에서 KMS를 구성할 때 * 호스트 이름 * 필드에 동일한 FQDN 또는 IP 주소를 입력해야 합니다. -
서버 인증서는 KMS의 KMIP 인터페이스에서 사용하는 인증서와 일치해야 하며, 일반적으로 포트 5696을 사용합니다.
-
-
외부 KMS 및 클라이언트 인증서의 개인 키로 StorageGRID에 발급된 공용 클라이언트 인증서를 얻습니다.
클라이언트 인증서를 사용하면 StorageGRID가 KMS에 대한 인증을 받을 수 있습니다.